Megosztás a következőn keresztül:

Gyakori feltételes hozzáférési szabályzat: Az örökölt hitelesítés letiltása

  • Cikk

Az örökölt hitelesítési protokollokhoz kapcsolódó megnövekedett kockázat miatt a Microsoft azt javasolja, hogy a szervezetek tiltsa le a hitelesítési kérelmeket ezekkel a protokollokkal, és követeljenek meg modern hitelesítést. További információ arról, hogy miért fontos az örökölt hitelesítés letiltása, olvassa el a Következő cikk : Az örökölt hitelesítés letiltása a Microsoft Entra-azonosítóra feltételes hozzáféréssel.

Felhasználói kizárások

A feltételes hozzáférési szabályzatok hatékony eszközök, ezért javasoljuk, hogy zárja ki a következő fiókokat a szabályzatokból:

  • A bérlői szintű fiókzárolás megakadályozása érdekében vészhelyzeti hozzáféréssel vagy üvegtöréses fiókokkal. Abban a valószínűtlen esetben, ha az összes rendszergazda ki van zárva a bérlőből, a vészhelyzeti hozzáférésű rendszergazdai fiók segítségével bejelentkezhet a bérlőbe a hozzáférés helyreállításához szükséges lépések végrehajtásához.
    • További információt a Segélyhívási fiókok kezelése a Microsoft Entra ID-ban című cikkben talál.
  • Szolgáltatásfiókok és szolgáltatásnevek, például a Microsoft Entra Connect Sync-fiók. A szolgáltatásfiókok nem interaktív fiókok, amelyek nincsenek egyetlen adott felhasználóhoz sem hozzákötve. Ezeket általában olyan háttérszolgáltatások használják, amelyek programozott hozzáférést biztosítanak az alkalmazásokhoz, de a rendszerekbe való adminisztratív célú bejelentkezéshez is használhatók. Az ilyen szolgáltatásfiókokat ki kell zárni, mivel az MFA nem végezhető el programozott módon. Az alkalmazáspéldányok által kezdeményezett hívásokat a felhasználókra vonatkozó feltételes hozzáférési szabályzatok nem tiltják le. Használjon feltételes hozzáférést számítási feladatok identitásaihoz az alkalmazáspéldányokra vonatkozó szabályzatok meghatározásához.
    • Ha a szervezet ezeket a fiókokat szkriptekben vagy kódban használja, fontolja meg a felügyelt identitások lecserélését. Ideiglenes áthidaló megoldásként kizárhatja ezeket az adott fiókokat az alapkonfigurációs szabályzatból.

Sablonalapú telepítés

A szervezetek az alábbi lépések végrehajtásával vagy a feltételes hozzáférési sablonok használatával dönthetnek úgy, hogy telepítik ezt a szabályzatot.

Feltételes hozzáférési házirend létrehozása

Az alábbi lépések segítenek létrehozni egy feltételes hozzáférési szabályzatot az örökölt hitelesítési kérések letiltásához. Ez a szabályzat csak jelentés módban indul el, így a rendszergazdák megállapíthatják, hogy milyen hatással vannak a meglévő felhasználókra. Ha a rendszergazdák számára kényelmes, hogy a szabályzat a kívánt módon érvényesüljön, bizonyos csoportok hozzáadásával és más csoportok kizárásával átválthatnak az üzembe helyezés bekapcsolására vagy szakaszolására.

  1. Jelentkezzen be a Microsoft Entra felügyeleti központbafeltételeshozzáférés-adminisztrátorként.
  2. Keresse meg a védelmi>feltételes hozzáférési>szabályzatokat.
  3. Válassza az Új szabályzat lehetőséget.
  4. Adjon nevet a házirendnek. Javasoljuk, hogy a szervezetek hozzanak létre egy értelmes szabványt a szabályzataik nevének megfelelően.
  5. A Hozzárendelések csoportban válassza ki a Felhasználók vagy a számítási feladat identitásait.
    1. A Belefoglalás csoportban válassza a Minden felhasználó lehetőséget.
    2. A Kizárás csoportban válassza ki a Felhasználók és csoportok lehetőséget, és válasszon ki minden olyan fiókot, amelyeknek meg kell őriznie az örökölt hitelesítés használatát. A Microsoft azt javasolja, hogy zárjon ki legalább egy fiókot, hogy ne zárhassa ki magát.
  6. A Célerőforrások>Felhőalkalmazások>Belefoglalva területen válassza az Összes felhőalkalmazás lehetőséget.
  7. A Feltételek>ügyfélalkalmazások területen állítsa a Konfigurálás igen értékre.
    1. Csak az ügyfelek és az egyéb ügyfelek Exchange ActiveSync protokoll jelölőnégyzeteket jelölje be.
    2. Válassza a Kész lehetőséget.
  8. A Hozzáférés-vezérlés megadása> csoportban válassza a Hozzáférés letiltása lehetőséget.
    1. Válassza a lehetőséget.
  9. Erősítse meg a beállításokat, és állítsa a Házirendengedélyezése csak jelentésre beállítást.
  10. Válassza a Létrehozás lehetőséget a szabályzat engedélyezéséhez.

Miután a rendszergazdák megerősítették a beállításokat a csak jelentéskészítési móddal, a házirend engedélyezése kapcsolót áthelyezhetik a Csak jelentés módról a Be értékre.

Feljegyzés

A feltételes hozzáférési szabályzatok az elsőfaktoros hitelesítés befejezése után lesznek kényszerítve. A feltételes hozzáférés nem célja, hogy a szervezet első védelmi vonala legyen olyan helyzetekben, mint a szolgáltatásmegtagadási (DoS-) támadások, de ezekből az eseményekből származó jeleket használhatja a hozzáférés meghatározásához.

Következő lépések

Feltételes hozzáférési sablonok

A feltételes hozzáféréshez csak jelentésalapú módot használhat az új szabályzattal kapcsolatos döntések eredményeinek meghatározásához.

Többfunkciós eszköz vagy alkalmazás beállítása e-mailek küldésére a Microsoft 365 használatával